La fundación Mozilla ha lanzado con fecha del 26 de Octubre del presente año una nueva actualización para su navegador Firefox, la versión 16.0.2, en la cual se solucionan 3 problemas de seguridad, dos de ellas del tipo XSS que podrían permitir ataques de cross-site scripting sobre los usuarios del navegador web.

La primera de las vulnerabilidades del tipo XSS (CVE-2012-4194) es que el verdadero valor de window.location podría ser ensombrecido por el contenido de usuario mediante el método valueOf, que puede combinarse con algunos plugins para realizar ataque cross-site scripting (XSS) sobre los usuarios.

La segunda vulnerabilidad también del tipo XSS (CVE-2012-4195) es que la función CheckURL en window.location puede verse obligada a devolver el documento llamado equivocado y ataca la principal, permitiendo un ataque cross-site scripting (XSS). También existe la posibilidad de obtener la ejecución de código arbitrario si el atacante puede aprovechar un complemento que interactúa con el contenido de la página

La tercera vulnerabilidad (CVE-2012-4196) consiste en la habilidad para utilizar la inyección de propiedad por prototipo para eludir las protecciones de envoltura de seguridad en el objeto Location (Ubicación), que permite la lectura de la cross-origin del objeto Location.

Hace ya un tiempo que este navegador cuenta por defecto con un sistema de actualización automática, si quiere puede verificar la versión instalada manualmente haciendo clic en el menú “Ayuda” (Help), después clic en “Acerca de Firefox” (About Firefox) y le mostrara la ventana con la información. Si su navegador no está actualizado por cualquier razón le mostrara en esa ventana que esta descargando la actualización y después que termine le pedirá de reiniciar el navegador para aplicar la misma.

Recuerde que para actualizarlo debe hacerlo desde una cuenta con derechos administrativos o yendo al icono de Firefox en All Programs(Todos los Programas), después haga clic derecho sobre el icono, después clic sobre Run as administrator(Ejecutar como administrador).

Se recomienda a todos los usuarios de este navegador web de actualizar a la mayor brevedad posible a esta nueva versión. Lo puede hacer bien desde el actualizador automático o desde los enlaces siguientes:

Enlace de descarga de Firefox (inglés EUA)

Enlace de descarga de Firefox (español Argentina)

Enlace de descarga de Firefox (español España)

Enlace de descarga de Firefox (español Chile)

Enlace de descarga de Firefox (español México)

Fuente: Mozilla Foundation Security Advisory 2012-90